【导语】“不想来了”通过精心收集,向本站投稿了5篇快速了解关于IDS和IPS的安全区别 IDS,下面是小编整理后的快速了解关于IDS和IPS的安全区别 IDS,欢迎大家阅读分享借鉴,欢迎大家分享。
- 目录
篇1:快速了解关于IDS和IPS的安全区别 IDS
正如我们大家所知道的那样,互联网的无处不在已经完全改变了我们所知道的网络,过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而,与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候,企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的TCP和UDP端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的,但是,有些端口对于HTTP、SMTP和POP3通信是有用的。为了保证这些服务工作正常,对这些常用的服务的对应的端口必须要保持开放的状态。问题是, 已经学会了如何让恶意通信通过这些通常开放的端口。
为了应付这种威胁,一些公司开始应用入侵检测系统(IDS)。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的,但是,在实际上,IDS系统由于某些原因的影响工作得并不好。
早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时,这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说,查找异常通信方式会产生很多错误的报告。经过一段时间之后,管理员会对收到过多的错误警报感到厌烦,从而完全忽略IDS系统的警告,
IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击,它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之,由于IDS系统会产生很多的错误报告,你真的愿意让IDS系统对合法的网络通信采取行动吗?
在过去的几年里,IDS系统已经有了很大的进步。目前,IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动,IDS系统就发出这个攻击的报告。
比较新的IDS系统比以前的系统更准确一些。但是,这个数据库需要不断地更新以保持有效性。而且,如果发生了攻击并且在数据库中没有相匹配的签名,这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击,IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。
这就是入侵防御系统(IPS)的任务了。IPS与IDS类似,但是,IPS在设计上解决了IDS的一些缺陷。
对于初始者来说,IPS位于你的防火墙和网络的设备之间。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下,IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
正如你所看到的,IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备,如果你使用IPS而不是使用IDS,你的网络通常会更安全。
篇2:快速了解ids和ips的区别有哪些入侵检测
正如我们大家所知道的那样,互联网的无处不在已经完全改变了我们所知道的网络,过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而,与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候,企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的tcp和udp端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的,但是,有些端口对于http、smtp和pop3通信是有用的。为了保证这些服务工作正常,对这些常用的服务的对应的端口必须要保持开放的状态。问题是, 已经学会了如何让恶意通信通过这些通常开放的端口。
为了应付这种威胁,一些公司开始应用入侵检测系统(ids)。ids的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的,但是,在实际上,ids系统由于某些原因的影响工作得并不好。
早期的ids系统通过查找任何异常的通信发挥作用。当检测到异常的通信时,这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说,查找异常通信方式会产生很多错误的报告。经过一段时间之后,管理员会对收到过多的错误警报感到厌烦,从而完全忽略ids系统的警告。
ids系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击,它将提醒管理员采取行动。人们认为ids系统采取的这种方法是很好的。总之,由于ids系统会产生很多的错误报告,你真的愿意让ids系统对合法的网络通信采取行动吗?
在过去的几年里,ids系统已经有了很大的进步,
目前,ids系统的工作方式更像是一种杀毒软件。ids系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动,ids系统就发出这个攻击的报告。
比较新的ids系统比以前的系统更准确一些。但是,这个数据库需要不断地更新以保持有效性。而且,如果发生了攻击并且在数据库中没有相匹配的签名,这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击,ids系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。
这就是入侵防御系统(ips)的任务了。ips与ids类似,但是,ips在设计上解决了ids的一些缺陷。
对于初始者来说,ips位于你的防火墙和网络的设备之间。这样,如果检测到攻击,ips会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下,ids只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
ips检测攻击的方法也与ids不同。目前有很多种ips系统,它们使用的技术都不相同。但是,一般来说,ips系统都依靠对数据包的检测。ips将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
正如你所看到的,ids和ips系统有一些重要的区别。如果你要购买有效的安全设备,如果你使用ips而不是使用ids,你的网络通常会更安全。
关 键 字:入侵检测
篇3:六步评估ips/ids入侵检测
对国内众多企业用户来说,两年来入侵检测与防护(ids/ips)设备已经脱离了原有的奢侈形象,成为了企业不可或缺的标准配置,为此,本报特别整理了企业的网管人员、it 经理及信息主管在选购此类设备时的评估标准,以飨读者。
环境决定部署
企业部署防火墙之后,是否还需要进一步提升安全防护能力呢?答案是肯定的。虽然,防火墙称得上是安全防护的防线,同时部署防火墙也是对依靠互联网扩展业务的企业的基本要求。但是,仅有一道防线的城池仍非固若金汤。
当前的应用系统发展与web更加紧密,从办公系统到交易系统,这种趋势日益明显。在这样的背景下,大多数传统的防火墙对于企业网络的安全,已经无法实施100%的控制,对于合法内容中混入的可疑流量、dos攻击、蠕虫病毒、间谍软件等威胁,几乎没有有效的反击措施。
据了解,在,仅拒绝服务(dos)攻击导致的平均损失就高达150万美元,同 2004 年相比增长了五倍。
从全球的统计数字来看,垃圾邮件、邮件病毒、邮件攻击已经成为了当前企业网的主要威胁,同时其影响力还在不断扩大。特别是夹杂在“合法”邮件中的非法信息,令企业网络处于危险的潜在威胁之中。
例如将木马病毒隐藏在看似合法的smtp邮件中,并随时准备对企业关键信息发起攻击,已经成为近期的主流。因此,各大企业都在利用入侵检测与防护系统为网络建构多层防护体系,其中juniper idp、radware defensepro、mcafee intrushield都是国内应用较多的产品。
六项准则
入侵检测与防护系统能够保护企业免受重大安全威胁和经济损失,进而保护企业的生存。但企业在选择和部署网络安全解决方案时,也要考虑成本效益的因素,因此找出利弊的平衡点尤为重要。
为有效评估入侵检测与防护系统,可以将评估标准划分为六个方面。
1.全面保护
对于任何安全系统而言,入侵检测与防护系统提供的全面保护应该能够准确识别威胁并有效保证网络的安全。但是,许多产品在这方面先天不足络邮件传输存在固有的复杂性,包括支持大量网络层协议(如ip、tcp、udp、icmp等) 和应用层协议(如http、ftp、smtp、dns、pop3、imap等),这些都为攻击者提供了无数可供利用的漏洞。
juniper的工程师认为,除了这种固有的复杂性外,攻击者还可以采取不同的形式和手段,并可随意选择攻击时间进行攻击。如果系统不支持其中的一种协议或攻击类型,就会忽略并遗漏这种攻击,从而使企业网络及其重要信息处于失去保护的状态。为了对付攻击者,安全设备必须能够处理并有效防护所有类型邮件中潜在的攻击。
2. 准确性
准确性是高品质、高效率入侵检测与防护系统的关键。要实现高度的准确性,系统必须能够跟踪所有网络通信、理解每个通信的意图,然后针对攻击企图准确地做出安全决策。如果系统准确性不够,就可能检测不到攻击,而合法邮件也可能因被视为攻击行为而发出告警。
国内主要
关 键 字:入侵检测
篇4:安防及入侵检测・什么是IDS入侵检测
安防及入侵检测・什么是IDS入侵检测
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
在本质上,入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。入侵检测系统的原理模型如图所示。
入侵检测系统通过监听获得网络连路上流量的拷贝
入侵检测系统的工作流程大致分为以下几个步骤:
(1)信息收集入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
(2)信号分析对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
具体的技术形式如下所述:
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析
分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的`突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
完整性分析
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。这种方式主要应用于基于主机的入侵检测系统(HIDS)。
(3)实时记录、报警或有限度反击
IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。
经典的入侵检测系统的部署方式如图所示:
篇5:安防及入侵检测・什么是IDS与防火墙对比
安防及入侵检测・什么是IDS与防火墙对比
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的.网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
・服务器区域的交换机上
・Internet接入路由器之后的第一台交换机上
・重点保护网段的局域网交换机上
★ 了解近义词
★ 了解的近义词
★ 了解千米教学反思
★ 我的性格我了解
快速了解关于IDS和IPS的安全区别 IDS(精选5篇)
